Заголовок страницы (до 50 символов)

Автор: slim.

Со стороны циски и, что касается  racoon со стороны фри делал оч хороший человек, Михаил ( admin_mick ) , так что уточняйте все вопросы по поводу параметров шифрования, я у него буду спрашивать, .
В один прекрасный день оказалось, что филиал вот уж завтра открывается, а с покупкой цисок фигово. Решили попробовать программный  маршрутизатор со стороны филиала, как временное решение, но все делалось так, чтоб когда придет туда циска не пришлось на главной ничего менять.  

Имеем 10.10.31.0.24 – сеть филиала
10.10.222.52/30 – сеть маршрутизируемая провайдером
Внешний адрес  FreeBSD 10.10.222.54  
Внешний адрес Cisco 10.10.222.53

Адреса туннеля фря 10.10.223.54  циска 10.10.223.53

Пересобираем ядро с поддержкой ipsec



device crypto options IPSEC options IPSEC_FILTERTUNNEL # я добавил из интереса options IPSEC_DEBUG

Ставим  raccoon


cd /usr/ports/security/ipsec-tools/ make install clean

убрана только поддержку ip6

Не создалась папка ( может и не должна )  /usr/local/etc/raccoon/


mkdir /usr/local/etc/raccoon cp /usr/local/share/examples/ipsec-tools/psk.txt /usr/local/etc/raccoon/ cp /usr/local/share/examples/ipsec-tools/racoon.conf /usr/local/etc/raccoon/

FreeBSD
/etc/rc.conf


ifconfig_em0="inet 10.10.31.1 netmask 255.255.255.0" ifconfig_em1="inet 10.10.222.54 netmask 255.255.255.252" static_routes="net1" route_net1="-net 10.10.222.1 10.10.222.53" gif_interfaces="YES" gif_interfeces="gif0" gifconfig_gif0="10.10.222.54 10.10.222.1" ifconfig_gif0="inet 10.10.223.54 10.10.223.53 netmask 255.255.255.252" racoon_enable="YES" ipsec_enable="YES" ipsec_file="/etc/ipsec.conf"

/usr/local/etc/racoon/racoon.conf



path pre_shared_key "/usr/local/etc/racoon/psk.txt"; #location of pre-shared key file log notify; #log verbosity setting: set to 'notify' when testing and debugging is complete padding # options are not to be changed { maximum_length 20; randomize off; strict_check off; exclusive_tail off; } timer # timing options. change as needed { counter 5; interval 20 sec; persend 1; phase1 30 sec; phase2 15 sec; } listen # address [port] that racoon will listening on { isakmp 10.10.222.54 [500]; } remote 10.10.222.1 [500] { exchange_mode main,aggressive; doi ipsec_doi; situation identity_only; my_identifier address 10.10.222.54; peers_identifier address 10.10.222.1; lifetime time 1800 sec; passive off; proposal_check obey; generate_policy off; proposal { encryption_algorithm 3des; hash_algorithm md5; authentication_method pre_shared_key; lifetime time 1800 sec; dh_group 2; } } sainfo anonymous { pfs_group 2; lifetime time 86400 sec; encryption_algorithm 3des; authentication_algorithm hmac_md5; compression_algorithm deflate; }

/etc/ipsec.conf
Шифруем только ipencap трафик


spdadd 10.10.222.54/32 10.10.222.1/32 ipencap -P out ipsec esp/tunnel/10.10.222.54-10.10.222.1/require; spdadd 10.10.222.1/32 10.10.222.54/32 ipencap -P in ipsec esp/tunnel/10.10.222.1-10.10.222.54/require;

Cisco



interface Tunnel20 ip address 10.10.223.53 255.255.255.252 ip mtu 1400 ip tcp adjust-mss 1360 tunnel source 10.10.222.1 tunnel destination 10.10.222.54 tunnel mode ipip tunnel protection ipsec profile Filail20 crypto ipsec profile Filail20 set security-association lifetime seconds 86400 set transform-set TSET_3DESMD5 set pfs group2 crypto ipsec transform-set TSET_3DESMD5 esp-3des esp-md5-hmac crypto isakmp key [KEY] address 10.10.222.54 no-xauth crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2 lifetime 1800

/usr/local/etc/racoon/psk.txt


10.10.222.1 [KEY]

gif_interfaces="YES" gif_interfeces="gif0" gifconfig_gif0="10.10.222.54 10.10.222.1" ifconfig_gif0="inet 10.10.223.54 10.10.223.53 netmask 255.255.255.252"

интерфейс создавался но не корректно, примеры записи смотрел в хэндбуке, сильно капаться в этом не хотелось по этому записал в скрипт
/usr/local/etc/rc.d/tun.sh


/sbin/ifconfig gif0 inet 10.10.223.54 10.10.223.53 netmask 255.255.255.252 tunnel 10.10.222.54 10.10.222.1 mtu 1400 up

Для gre туннеля отличия минимальны

FreeBSD


/sbin/ifconfig gre0 inet 10.10.223.54 10.10.223.53 netmask 255.255.255.252 tunnel 10.10.222.54 10.10.222.53 link1 up

/etc/ipsec.conf
Шифруем только gre трафик




spdadd 10.10.222.54/32 10.10.222.1/32 gre -P out ipsec esp/tunnel/10.10.222.54-10.10.222.1/require; spdadd 10.10.222.1/32 10.10.222.54/32 gre -P in ipsec esp/tunnel/10.10.222.1-10.10.222.54/require;

На циске только тип туннеля вместо tunnel mode ipip ставим tunnel mode gre

размещено: 2008-11-15,
последнее обновление: 2008-11-15,
автор: slim

  Этот информационный блок появился по той простой причине, что многие считают нормальным, брать чужую информацию не уведомляя автора (что не так страшно), и не оставляя линк на оригинал и автора — что более существенно. Я не против распространения информации — только за. Только условие простое — извольте подписывать автора, и оставлять линк на оригинальную страницу в виде прямой, активной, нескриптовой, незакрытой от индексирования, и не запрещенной для следования роботов ссылки.
  Если соизволите поставить автора в известность — то вообще почёт вам и уважение.

© lissyara 2006-10-24 08:47 MSK